PERCHE’ IL DOPPIO STORAGE E NON IL SINGOLO STORAGE CON CONTROLLER REDUNDANT?

La domanda sembra banale, e la risposta abbastanza scontata, ma in realtà con il doppio storage, oltre alla maggiore sicurezza, che ora esamineremo nei particolari, si aprono scenari assolutamente nuovi e tipici di strutture di altissimo livello.
Le possibilità di implementazione sono molteplici e adattabili a tutte le esigenze.

Non dimentichiamo un fattore importantissimo:
IN AMBIENTE DI ALTA DISPONIBILITA’ IL FAULT DELLO STORAGE COMPORTA IL FERMO COMPLETO DI TUTTA L’INFRASTRUTTURA INFORMATICA!

Ora vediamo i limiti dello storage singolo con alimentazione e controller ridondanti:

1.     I due controller insistono, per il colloquio tra di loro e con i dischi su un unico backplane e quindi, in caso di fault di questo componente lo storage è completamente in fail.

2.     Lo stesso discorso vale per il gruppo alimentazione che controlla i moduli ridondanti. Anche in questo caso il fault del componente causa il fermo dello storage.

3.     Gli hard disk, normalmente organizzati con un livello di RAID di sicurezza (normalmente RAID 5 o 6) insistono, per forza di cose, su un unico backplane, anche in questo caso si ripete la stessa situazione vista in precedenza.

4.     Il livello RAID normalmente disponibile sugli storage con controller redundant è il “5+1” che concede un solo disco di sicurezza (al contrario del “6” implementato sulle macchine OPENSTOR che rilascia ben 2 dischi di parità). Questo comporta che in caso di fault di un Hard disk parta in automatico il “rebuilding” sul disco di spare (normalmente previsto su questi apparati). Questo automatismo presenta due problematiche ben distinte, una di sicurezza e una di opportunità.

 
OPPORTUNITA’
E’ abbastanza logico e normale che un disco possa andare in fail mentre stà lavorando e non durante i periodi di riposo e quindi il “rebuilding” parta in automatico proprio durante il periodo lavorativo quando sarebbe necessario avere la massima disponibilità, in termini di prestazioni, dello storage. Questo processo, invece rallenta in maniera pesantissima la macchina rendendo il lavoro degli utenti praticamente impossibile. E’ naturalmente possibile prevedere di lanciare il rebuilding manualmente durante il periodo di riposo (es. la notte) ma questo ci espone al notevole rischio di perdita di tutti i dati in caso di fail di un secondo Hard disk.

SICUREZZA
Per capire meglio questo problema occorre innanzitutto prendere atto di due fattori estremamente importanti: Il fault di un hard disk avviene, nella stragrande maggioranza dei casi, dopo un periodo di lavoro abbastanza lungo che varia fra i 2 e i 4 anni e il “rebuilding” di un Hard disk è il momento di maggior stress per gli hard disk del sistema.
Abbiamo già visto che è molto probabile che il fault avvenga durante le ore lavorative, ovvero durante il momento di stress degli HDD, e quindi il “rebuilding” avvenga, per l’automatismo di cui sopra, anch’esso durante questo periodo. Il risultato è un eccezionale fattore di stress del sistema che può causare, cosa affatto rara, il fault di un secondo Hard Disk con conseguente perdita irrimediabile, del volume e di tutti i dati. Non dimentichiamo infatti che se il disco che si è guastato era un disco abbastanza vecchio, anche tutti gli altri hard disk hanno la stessa età!

5.     In caso di disastro (incendio, allagamento, fulmine diretto) o, cosa sempre più frequente, di furto delle apparecchiature ci sarà una perdita completa dei dati e l’impossibilità di lavorare per un periodo abbastanza lungo (bisognerà infatti ripristinare il sistema dal punto di vista hardware e poi di effettuare un restore completo del sistema (con tutti i rischi che questa operazione presenta) a patto di avere un back-up completo di tutte le macchine virtuali presenti sul sistema, cosa assolutamente non scontata come ci dice l’esperienza.

Ecco un esempio di SAN classica con storage Dual Controller Redundant (nell'esempio è illustrata una soluzione in iSCSI 10Gbit ma la situazione è assolutamente identica se si parlasse di Fibre Channel)

LA SICUREZZA DELDOPPIO STORAGE

E’ evidente come il semplice fatto di avere un secondo storage risolva di fatto i punti 1, 2, 3 e 4 del precedente paragrafo. In realtà il punto 4 è risolto brillantemente dagli storage OPENSTOR anche in presenza di un solo storage, infatti, supportando il RAID di livello 6 (con 2 dischi di parità) in caso di fault di un HDD non si ha la necessità impellente di ripristinare il disco perso in quanto ci si può permettere di perdere un secondo disco senza alcuna perdita di dati. In effetti quando si implementa un RAID di livello 6 non si prevede mai un disco di “spare” in quanto è preferibile lanciare il “rebuilding” manualmente quando lo si ritiene più opportuno. Per essere più chiari un RAID di livello 6 degradato (con un disco guasto) diventa un RAID 5.

Dato che il sincronismo dei due storage OPENSTOR avviene tramite un link diretto a 10 Gbit appare subito evidente come sia possibile, semplicemente utilizzando una connessione in Fibra Ottica anziché un cavo in rame, delocalizzare il secondo storage con una piccolissima variazione di spesa. La distanza a cui può essere installato il secondo storage dipende dal tipo di connessione che si andrà a utilizzare (e anche i costi cambiano di conseguenza), ovvero: fino a 300mt in caso di connessione Short Range e fino a 10 Km se la connessione è di tipo Long Range!

Ecco un esempio di struttura ad alta disponibilità con doppio storage delocalizzato che, fino ad oggi,  era pensabile solo su impianti di altissimo costo, inavvicinabili per la quasi totalità delle piccole e medie imprese italiane. In parole più semplici un classico caso dove “la soluzione costa più del problema”.